A Meta chatbotján keresztül térítettek el fiókokat
Egy szolgáltatás technikai támogatásának kiszervezése valamilyen AI-alapú eszköznek akár még sérülékenyebbé teheti a felhasználókat – ez a fő tanulsága az egyáltalán nem kispályás Metát érintő kellemetlen incidensnek.
A Meta tavaly év végén tette elérhetővé AI-alapú támogatási asszisztensét elsősorban a Facebookról és Instagramról kizárt felhasználók bejelentési és visszaállítási folyamatainak meggyorsításához, ami alapvetően jó ötletnek tűnt. Biztonsági kutatók szerint az egyébként hasznos eszköz azonban jelentősen megkönnyítette a rosszindulatú felek dolgát, akik az AI-funkción keresztül sikeresen eltérítettek számos Instagram-fiókot az általuk választott más e-mail címekre. Különösen aggasztó, hogy még az sem nyújtott elegendő védelmet, ha valaki korábban már aktiválta a kétfaktoros hitelesítést a fiókjához.
A hétvégén több szakértő jelezte, hogy egyes Telegram csoportokban elterjedt egy exploit híre, melyet kihasználva a hackerek egyszerűen el tudják téríteni a kiszemelt fiókokat a helyreállítási folyamat során. A képernyőmentésekkel és videókkal illusztrált műveletben a támadók arra kérték a chatbotot, változtassa meg a kívánt fiókjukhoz tartozó e-mail címet, majd kérjenek jelszó-visszaállítást.
A Meta mostanra már javította a támadást lehetővé tevő hiányosságot, és egyelőre nem tudni, hogy összesen hány fiókot érinthetett a sebezhetőség a foltozás előtt. A 404 Media szerint a Telegramon már március óta fellelhetők a hibára utaló beszélgetések és útmutatók, így akár több hónapja is terjedhet a módszer.
A közösségi óriás szűkszavú közleménye nem válaszolta meg, hogyan kerülhetett ilyen banális és súlyos biztonsági rés az AI-alapú eszközbe. Egyes szakértők feltételezik, hogy a Meta chatbot a fióktulajdonosok fizikai helyére támaszkodik az AI-alapú támogatás során, amit arra alapoznak, hogy a hackerek VPN-használatával igazolták az adott személy tartózkodási helyét.